В интернете продают базу с данными вакцинированных россиян. 48 млн записей оценили в 100 000 долларов

На одном из теневых форумов появилось объявление о продаже базы данных 48 млн вакцинированных россиян. Она якобы выгружена из приложения «Госуслуги СТОП Коронавирус».

База хранит все данные, что и QR-код о вакцинации:

• первые буквы ФИО на русском и английском языках;
• дату рождения;
• уникальный номер регистровой записи пациента;
• первые две цифры серии и последние три цифры номера паспорта;
• название вакцины на русском и английском языках;
• QR-код в формате PNG и срок его действия.

Продавец в качестве подтверждения предоставил 10 000 строк из базы. Telegram-канал «Утечки информации» провёл выборочную проверку и выяснил, что QR-коды действительные.

Автор утечки просит за полную базу объёмом 150 ГБ 100 000 долларов (~7,46 млн рублей).

Журналист «Медиазоны» Максим Литаврин рассказал, что он с редактором «Холода» Михаилом Зеленским ещё летом обнаружили уязвимость в системе проверки ковидных сертификатов. По одной из ссылок «Госуслуги» отдавали все данные о QR-коде в формате JSON без авторизации. Все сертификаты пронумерованы последовательно, поэтому их можно перебрать автоматически. Нашедшие ошибку уведомили «Ростелеком» и Минцифры, но уязвимостью можно было воспользоваться до 15 декабря.

Минцифры начало проверку информации об утечке. В ведомстве отметили, что база не содержит персональных данных граждан, и что «выборочная проверка опубликованных QR-кодов показывает их неработоспособность».